‘Aanvallen op ERP-applicaties van de overheid niet nieuw’
ERP-applicaties worden op grote schaal aangevallen, bleek onderzoek van Digital Shadows, marktleider in digitaal risicomanagement en Onapsis. Ongeveer de helft van alle overheden gebruikt ERP-oplossingen zoals SAP, Microsoft, Oracle en Exact. Het Nationaal Cyber Security Centrum (NCSC) zegt zich ‘niet meer dan normaal’ zorgen te maken.
ERP-applicaties worden op grote schaal aangevallen, bleek onderzoek van Digital Shadows, marktleider in digitaal risicomanagement en Onapsis. Ongeveer de helft van alle overheden gebruikt ERP-oplossingen zoals SAP, Microsoft, Oracle en Exact. Het Nationaal Cyber Security Centrum (NCSC) zegt zich ‘niet meer dan normaal’ zorgen te maken.
Aantal kwetsbaarheden stijgt
Uit het onderzoek, waarvoor de bedrijven op het openbare, deep web en dark web naar informatie, tactieken, activiteiten van cybercriminelen zochten met betrekking tot ERP-systemen, blijkt dat met name de ERP-systemen van SAP en Oracle steeds meer kwetsbaarheden bevatten. Het aantal kwetsbaarheden zou nu rond de negenduizend liggen en verdubbeld zijn ten opzichte van drie jaar geleden. Ook de activiteiten van cybercriminelen rondom de applicaties SAP en Oracle stegen flink, met 160 procent.
'Ieder systeem bevat kwetsbaarheden'
Het NCSC laat via een woordvoerder weten niet op de hoogte te zijn van de specifieke kwetsbaarheden waar op gedoeld wordt. ‘We zijn uiteraard wél op de hoogte van het feit dat ieder systeem kwetsbaarheden bevat, dus ook genoemde ERP systemen.’ Of de systemen veel in gebruik zijn bij de Nederlandse overheid zoals onder meer ook uit cijfers van Consultancy.nl blijkt, kan een woordvoerder bevestigen. ‘Het is bij ons bekend dat partijen deze systemen gebruiken.’
'Geen reden voor extra maatregelen'
De uitkomsten van het onderzoek baart het NCSC ‘niet meer zorgen dan normaal’. ‘Dat cybercriminelen continue aanvallen uitvoeren, dus ook op ERP-systemen, is niet nieuw. Dat ze iedere keer nieuwe manieren, technieken en trucjes verzinnen om uiting te gegeven aan hun criminele intenties is ook niet nieuw. De aanpak is hetzelfde: informatiebeveiliging’, aldus de woordvoerder. Hij noemt onder meer risicoanalyses, beleggen van verantwoordelijkheden, het veilig inrichten van een netwerk met goede patches. ‘Neem maatregelen om de kans op een incident te verkleinen, maar ga er vanuit dat het een keer mis gaat. Maak dus ook plannen om de impact te beperken.’ Er worden door NCSC geen maatregelen genomen naar aanleiding van het onderzoek. ‘Dit is voor niet iets nieuws, dus ook geen reden voor extra maatregelen.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.